Sikkerhetskravene en virksomhet bør stille til IKT-tjenester er uavhengig av geografisk lokasjon og type tjenesteutsetting. Dersom det er forhold som kan ha innvirkning på sikkerhetsrisikoen, må disse identifiseres og vurderes, og kompenserende tiltak må iverksettes. Ved tjenesteutsetting av IKT-tjenester til andre land bør en rekke forhold ved vertslandet vurderes fordi forholdene kan påvirke sikkerhetsrisikovurderingen.